Deep Dive: Come Facebook cerca di ignorare la CJEU - nonostante due sentenze.

Dic 19, 2021

Deep Dive: Come ignorare le decisioni della CGUE in tre passi. Il Transfer Impact Assessment di Facebook spiegato.

Per i fanatici della privacy, che vogliono sapere di più di quello che abbiamo riassunto nella nostra Lettura del 4° Avvento, forniamo un'immersione più profonda in questa pagina sui quattro elementi del "Transfer Impact Assessment" (TIA) di Facebook.

Il nostro approccio a queste divulgazioni. Per evitare costose cause "SLAPP" alcuni elementi non sono disponibili in alcune giurisdizioni e abbiamo deciso di riassumere i documenti in un video invece di pubblicarli direttamente. Dove la sostanza del documento è più rilevante, lo spieghiamo in modo più dettagliato e ne citiamo gli elementi. C'è un video per ogni documento. Puoi leggere i dettagli sul perché possiamo usare questo documento legalmente in fondo alla pagina.

Documento 1: Schema del documento

Il documento generale si riferisce fondamentalmente agli altri tre documenti, discussi di seguito. Ha 7 pagine ed è in qualche modo interessante, in quanto sembra essere il "riassunto" degli altri documenti e fornisce una panoramica. La parte chiave del TIA è chiaramente la "Valutazione di Equivalenza", dove Facebook ignora completamente le sentenze della CJEU e arriva alla conclusione che le leggi dell'UE e degli USA sono "equivalenti". Gli altri due documenti sono presentati solo come risorse aggiuntive. La "Valutazione dei fattori" è principalmente descrive che i dati sono inviati agli Stati Uniti e quali dati sono, così come il fatto che c'è accesso da parte del governo degli Stati Uniti sotto il FISA 702. Il "Record of Safeguards" contiene anche le presunte "misure supplementari", anche quando nessuna misura è chiaramente rivolta alle leggi di sorveglianza degli Stati Uniti o alla sentenza della CGUE. In definitiva, è solo una lista di pratiche industriali standard.

In sintesi, l'argomento che le leggi dell'UE e degli USA sono "equivalenti" è la spina dorsale e l'unico pilastro dell'approccio di Facebook.

Documento 2: Valutazione di equivalenza delle leggi USA

L'"Equivalence Assessement" ("EA") è un documento di 58 pagine esplicitamente approvato dagli studi legali di Facebook Mason Hayes & Curran LLP e Perkins Coie LLP (paragrafo 1.4 dell'EA). Il documento è meglio riassunto nelle parole di Facebook stesso (pagina 7 del documento Outline):

Per arrivare a questo risultato, Facebook sostiene che la CGUE non ha avuto tutti i fatti rilevanti per raggiungere la sua conclusione, nonostante Facebook abbia presentato circa 45.000 pagine nella procedura. Facebook sostiene inoltre che la CGUE ha solo respinto la valutazione della Commissione europea nel "Privacy Shield", ma non ha affrontato in dettaglio la valutazione di Facebook. Pertanto, secondo Facebook, la CGUE non avrebbe mai deciso sui trasferimenti di Facebook sotto gli SCC. Questo in realtà non è corretto, in quanto la CGUE ha sottolineato nel paragrafo 168 della sentenza, che si è basata sulle preoccupazioni dell'Alta Corte irlandese e sul Privacy Shield della Commissione. Ci sono state sostanziali osservazioni su queste questioni da parte di Facebook e del governo degli Stati Uniti prima della CGUE. Tuttavia la CGUE ha chiaramente affermato che la legge statunitense non solo non è "equivalente", ma viola gli articoli 7, 8 e 47 della Carta dei diritti fondamentali.

Facebook fa un ulteriore sconto sul diritto dell'UE confondendo principalmente le sentenze della Corte europea dei diritti dell'uomo (ECtHR) di Strasburgo (parte del Consiglio d'Europa, con 47 stati membri, tra cui Turchia e Russia) sotto il basso standard dell'articolo 6 e 8 della Convenzione europea dei diritti dell'uomo (ECHR) con le sentenze della Corte di giustizia dell'Unione europea (CJEU) e il suo standard molto più alto sotto la Carta dei diritti fondamentali dell'Unione europea (CFR).

Contrariamente all'approccio sul diritto dell'UE, Facebook "ingigantisce" le protezioni del diritto statunitense, che ha già portato innumerevoli volte davanti all'Alta Corte irlandese e alla Corte di giustizia nel contenzioso "Schrems II". Sono state tutte respinte. Ciononostante, Facebook si basa ancora una volta su questi elementi per raggiungere la sua conclusione che la legge statunitense fornirebbe protezioni alle persone non statunitensi.

Questa combinazione di rifiuto totale della sentenza della CJEU, scontando il diritto dell'UE e ingrandendo il diritto degli Stati Uniti in qualche modo giustifica i trasferimenti illegali di dati UE-USA.

Documento 3: Valutazione dei fattori

Nella"Valutazione dei fattori" di 7 pagine, Facebook non sostiene realmente che alcuni fattori stanno in qualche modo limitando l'impatto dei trasferimenti di dati UE-USA.

Invece, l'introduzione spiega che sotto la "Valutazione dell'equivalenza", Facebook arriva alla conclusione che le leggi dell'UE e degli USA sono equivalenti (contrariamente alle sentenze della CJEU). Quindi, Facebook dice che la valutazione dei fattori è piuttosto una descrizione "caso per caso" dei loro trasferimenti UE-USA, che in realtà fattori che limitano la sorveglianza.

I fattori limitati che punterebbero a una minore interferenza con i diritti fondamentali dell'UE, secondo Facebook, sono ad esempio il numero di richieste del governo degli Stati Uniti secondo il rapporto di trasparenza di Facebook stesso. Gli altri "fattori" descrivono semplicemente fatti come il fatto che il destinatario è Facebook Inc. o che Facebook Inc. sta effettivamente ricevendo richieste FISA dal governo degli Stati Uniti (pagina 7 della "valutazione dei fattori"):

Non è chiaro come questi "fattori" possano aiutare a rendere legale un trasferimento. In effetti, Facebook non sembra davvero fare affidamento su questi "fattori" per giustificare che il trasferimento sarebbe legale, ma piuttosto ha progettato il documento per essere una mera descrizione fattuale. L'argomento principale continua ad essere che la CJEU ha torto e che le leggi dell'UE e degli USA sono di fatto equivalenti.

Documento 4: Registro delle misure di salvaguardia, comprese le misure supplementari

Infine, Facebook ha generato un documento di 14 pagine chiamato"Record of Safeguards", che è principalmente una lunga tabella di "misure", tra cui "misure organizzative" così come "misure tecniche". Sono in realtà tutte politiche di base, richieste per esempio dall'articolo 32 del GDPR, come la "gestione dei dispositivi mobili" o avere una politica interna su come reagire alle richieste del governo.

È interessante notare che Facebook impiega solo 130 persone per rispondere a tutte le richieste governative a livello globale. Questo significherebbe che una richiesta legale viene controllata per una media di circa 10-15 minuti. Come misura di protezione contro le richieste governative false, Facebook sottolinea principalmente che verifica se l'indirizzo e-mail proviene da un nome di dominio governativo. Non è chiaro se Facebook verifica se una specifica entità governativa ha il diritto di fare richieste per i dati personali dei titolari di account.Nessuna delle misure elencate sembra avere alcun collegamento diretto con le leggi di sorveglianza degli Stati Uniti.

L'unico elemento che menziona FISA 702 e EO 12.333 evidenzia che Facebook impiega algoritmi e protocolli di crittografia standard del settore in transito, questi standard sono la crittografia TLS (come al solito per qualsiasi sito web) e la crittografia AES (come fa qualsiasi smartphone). Facebook riconosce che non tutti i dati sono criptati, in quanto menziona che solo quasi tutto il traffico di Facebook è criptato TLS. In realtà, non vi è alcuna misura che potrebbe in alcun modo proteggere contro un ordine sotto FISA 702 PRISM / DOWNSTREAM (quindi la sorveglianza direttamente a Facebook), ma sono solo collegati a "UPSTREAM" (quindi la sorveglianza attraverso la dorsale Internet). Poiché Facebook detiene tutte le chiavi di crittografia e può accedere a tutti i dati in chiaro, non c'è modo che TLS e AES sia una protezione rilevante:

Facebook chiude il documento con misure "proattive", come fare lobby e contribuire allo sviluppo della legge statunitense e con l'avere più informazioni per gli utenti nelle FAQ.

Abbiamo chiesto ad Alan Butler di epic.org sul "Record di Protezioni":

Base legale per la pubblicazione. Come sottolineato nella nostra prima lettura d'Avvento, le quattro letture d'Avvento sul noyb sono in protesta contro la rimozione illegale del noyb da parte del DPC in una procedura pendente. Tutti i documenti sono stati forniti attraverso la procedura di reclamo del signor Schrems, in sospeso da 8,5 anni davanti al DPC irlandese.

In un sistema delineato dagli avvocati del signor Schrems e accettato dal DPC, il signor Schrems è autorizzato a utilizzare liberamente i documenti della procedura, nei casi in cui Facebook ha il dovere legale di fornire questi documenti, che è chiaramente il caso qui:

L'articolo 5(1)(a) GDPR richiede che Facebook sia trasparente. L'articolo 13(1)(f) impone a Facebook di informare gli utenti su come ottenere una copia delle misure che giustificano un trasferimento internazionale e l'articolo 15(2) GDPR prevede specificamente il diritto di ottenerne una copia. Infatti, gli utenti non sono in grado di contestare un trasferimento di dati, se non sono informati sulle protezioni esistenti. Gli stessi SCC prevedono disposizioni simili, dato che danno agli utenti il diritto di far rispettare gli SCC (clausole 3, 8.9 e 14 degli SCC). Sembra che ogni azienda che usa Facebook come processore o controllore congiunto dovrebbe anche essere fornita del TIA.

Tuttavia, la posizione di Facebook e del DPC irlandese è che il GDPR e gli SCC non permettono agli utenti di ottenere una copia del TIA di Facebook, ma sono disponibili solo per l'autorità di controllo pertinente (quindi in questo caso solo il DPC).

I documenti non contengono nemmeno informazioni commercialmente o tecnicamente sensibili e non sono protetti da nessuna legge pertinente.